PortForwarding doch gar nicht so schlimm!?
-
Hallo liebe Community,
ich habe mir ne menge Gedanken über das Thema gemacht und mit ein paar Kollegen gesprochen (Systemhaus für Netzwerk und Security) die seit mehreren Jahrzenten dem Unternehmen beiwohnen.
VORWEG: DIES IST KEINE EMPFEHLUNG AN ALLE HIER PORTFORWARDING EINZUSCHALTEN WENN MAN SICH NICHT 100% IM KLAREN IST WAS MAN TUT. RISIKO BESTEHT IMMER!!!!!!! -
(Das tut es immer und überall, auch wenn du auf die Straße gehst ;) )Ich und die Kollegen sind zu dem Entschluss gekommen, dass Portforwarding (!!! BEI EINHALTUNG GEWISSER STANDARDS!!!) gar kein so großes Problem darstellt (vor allem bei Systemen wie dem Raspberry, der regelmäßig von der Raspi-Foundation aktuell gehalten wird etc.)
Ich habe auf meiner FritzBox (die auch regelmäßige Updates erhält) Portforwarding auf Admin, VIS und SSH aktiviert. Dazu muss ich sagen die Passwörter die ich für die einzelnen Services gewählt habe unterscheiden sich, und sich mit einem Wildwuchs aus kryptischen Zeichen-,Zahlen- und Sonderzeichenketten (nahezu) unknackbar, sollte ich nicht auf Fishing Websites reinfallen...
Eigene Portfreigaben zu öffnen habe dem Raspberry in der FirtzBox nicht gestattet.
Mein Raspberry bekommt per Cron alle 6 Stunden ein Update und Upgrade verpasst. Außerdem ist fail2ban aktiv mit blockings von 14 Tagen und maximal 2 versuchen sich anzumelden. Das ganze läuft aktuell nur bei SSH aber wird noch ausgeweitet auf den Node.js Webserver für HTTPS. Und ja ich sehe auch regelmäßig ein paar "einsame" IPs sich auf meinen Raspberry verirren, die aber spätestens nach dem zweiten Versuch geblockt werden.Anfangs war ich ebenfalls über VPN angebunden, ich fand es jedoch immer zu umständlich "nur um mal eben das Licht auszumachen" oder den Stromverbrauch im VIS zu checken den VPN anzuschalten. Den Cloud adapter will ich nicht nutzen. Reicht mir schon, dass Alexa weiss was ich an Musik höhre :D
Domain gekauft, LetsEncrypt Zertifikat auf dem Raspi installiert und ab dafür. Von überall erreichbar.
EDIT: Außerdem checke ich Berufsbedingt regelmäßig CVEs.
Jetzt will ich eigentlich nur von Euch (hoffentlich auch der ein oder andered der ebenfalls im Network / Security Bereich tätig sind) mal höhren wie Ihr die Gefahr von Portforwardings auf den IOBroker seht. Viele Meinungen gehen ja schon aus vergangenen Threads einher aber trotzdem würde mich das >>aktuell<< mal interessieren.
Viele Grüße
Remiind.
-
Hallo liebe Community,
ich habe mir ne menge Gedanken über das Thema gemacht und mit ein paar Kollegen gesprochen (Systemhaus für Netzwerk und Security) die seit mehreren Jahrzenten dem Unternehmen beiwohnen.
VORWEG: DIES IST KEINE EMPFEHLUNG AN ALLE HIER PORTFORWARDING EINZUSCHALTEN WENN MAN SICH NICHT 100% IM KLAREN IST WAS MAN TUT. RISIKO BESTEHT IMMER!!!!!!! -
(Das tut es immer und überall, auch wenn du auf die Straße gehst ;) )Ich und die Kollegen sind zu dem Entschluss gekommen, dass Portforwarding (!!! BEI EINHALTUNG GEWISSER STANDARDS!!!) gar kein so großes Problem darstellt (vor allem bei Systemen wie dem Raspberry, der regelmäßig von der Raspi-Foundation aktuell gehalten wird etc.)
Ich habe auf meiner FritzBox (die auch regelmäßige Updates erhält) Portforwarding auf Admin, VIS und SSH aktiviert. Dazu muss ich sagen die Passwörter die ich für die einzelnen Services gewählt habe unterscheiden sich, und sich mit einem Wildwuchs aus kryptischen Zeichen-,Zahlen- und Sonderzeichenketten (nahezu) unknackbar, sollte ich nicht auf Fishing Websites reinfallen...
Eigene Portfreigaben zu öffnen habe dem Raspberry in der FirtzBox nicht gestattet.
Mein Raspberry bekommt per Cron alle 6 Stunden ein Update und Upgrade verpasst. Außerdem ist fail2ban aktiv mit blockings von 14 Tagen und maximal 2 versuchen sich anzumelden. Das ganze läuft aktuell nur bei SSH aber wird noch ausgeweitet auf den Node.js Webserver für HTTPS. Und ja ich sehe auch regelmäßig ein paar "einsame" IPs sich auf meinen Raspberry verirren, die aber spätestens nach dem zweiten Versuch geblockt werden.Anfangs war ich ebenfalls über VPN angebunden, ich fand es jedoch immer zu umständlich "nur um mal eben das Licht auszumachen" oder den Stromverbrauch im VIS zu checken den VPN anzuschalten. Den Cloud adapter will ich nicht nutzen. Reicht mir schon, dass Alexa weiss was ich an Musik höhre :D
Domain gekauft, LetsEncrypt Zertifikat auf dem Raspi installiert und ab dafür. Von überall erreichbar.
EDIT: Außerdem checke ich Berufsbedingt regelmäßig CVEs.
Jetzt will ich eigentlich nur von Euch (hoffentlich auch der ein oder andered der ebenfalls im Network / Security Bereich tätig sind) mal höhren wie Ihr die Gefahr von Portforwardings auf den IOBroker seht. Viele Meinungen gehen ja schon aus vergangenen Threads einher aber trotzdem würde mich das >>aktuell<< mal interessieren.
Viele Grüße
Remiind.
@remiinD sagte in PortForwarding doch gar nicht so schlimm!?:
Anfangs war ich ebenfalls über VPN angebunden, ich fand es jedoch immer zu umständlich "nur um mal eben das Licht auszumachen" oder den Stromverbrauch im VIS zu checken den VPN anzuschalten
Damit hast Du - meiner Meinung nach - alles bereits beantwortet!
Sicherheit hat - fast immer - mit Komfortverlust zu tun.
Und dazu bist Du offensichtlich nicht bereit, und daher würde ich dir zum Thema Sicherheit niemals vertrauen!Wie unfassbar wichtig muss es sein "mal eben den Stromverbrauch abzulesen" und für so etwas an Sicherheit einzubüßen?
Aber am Ende muss jeder selbst wissen was er tut.
Im übrigen kann man in der Kombination "telegram-Adapter" und "Text2Command" recht sichere Abfrage und Schaltbefehle von extern durchführen.
-
@remiinD sagte in PortForwarding doch gar nicht so schlimm!?:
Anfangs war ich ebenfalls über VPN angebunden, ich fand es jedoch immer zu umständlich "nur um mal eben das Licht auszumachen" oder den Stromverbrauch im VIS zu checken den VPN anzuschalten
Damit hast Du - meiner Meinung nach - alles bereits beantwortet!
Sicherheit hat - fast immer - mit Komfortverlust zu tun.
Und dazu bist Du offensichtlich nicht bereit, und daher würde ich dir zum Thema Sicherheit niemals vertrauen!Wie unfassbar wichtig muss es sein "mal eben den Stromverbrauch abzulesen" und für so etwas an Sicherheit einzubüßen?
Aber am Ende muss jeder selbst wissen was er tut.
Im übrigen kann man in der Kombination "telegram-Adapter" und "Text2Command" recht sichere Abfrage und Schaltbefehle von extern durchführen.
@BBTown Moohohohment. :)
Du musst hier unterscheiden, was mein privates Empfinden ist und was ich Beruflich mache. Natürlich würde ich keinem Kunden empfehlen Portfreigaben zu machen (Es sei denn es ist ein Webserver in der DMZ oder ähnliches wo es fast gar nicht anders geht).
Vertrauen musst du mir nicht. Das habe ich ja auch gar nicht erwartet /verlangt :D
Ich wollte wissen wie ihr das Risiko einschätzt mit (bestenfalls) Beispielen dafür was schief laufen kann. (Auch wenn mir das bewusst ist das da Dinge schief laufen können).
Gruß
Remiind
-
@BBTown Moohohohment. :)
Du musst hier unterscheiden, was mein privates Empfinden ist und was ich Beruflich mache. Natürlich würde ich keinem Kunden empfehlen Portfreigaben zu machen (Es sei denn es ist ein Webserver in der DMZ oder ähnliches wo es fast gar nicht anders geht).
Vertrauen musst du mir nicht. Das habe ich ja auch gar nicht erwartet /verlangt :D
Ich wollte wissen wie ihr das Risiko einschätzt mit (bestenfalls) Beispielen dafür was schief laufen kann. (Auch wenn mir das bewusst ist das da Dinge schief laufen können).
Gruß
Remiind
-
@BBTown Moohohohment. :)
Du musst hier unterscheiden, was mein privates Empfinden ist und was ich Beruflich mache. Natürlich würde ich keinem Kunden empfehlen Portfreigaben zu machen (Es sei denn es ist ein Webserver in der DMZ oder ähnliches wo es fast gar nicht anders geht).
Vertrauen musst du mir nicht. Das habe ich ja auch gar nicht erwartet /verlangt :D
Ich wollte wissen wie ihr das Risiko einschätzt mit (bestenfalls) Beispielen dafür was schief laufen kann. (Auch wenn mir das bewusst ist das da Dinge schief laufen können).
Gruß
Remiind
@remiinD sagte in PortForwarding doch gar nicht so schlimm!?:
Du musst hier unterscheiden, was mein privates Empfinden ist und was ich Beruflich mache. Natürlich würde ich keinem Kunden empfehlen Portfreigaben zu machen
hmmmm .... Wasser predigen und dabei Wein trinken?? ;-)
Es ist ja am Ende tatsächlich eine persönliche Frage/Entscheidung.
Mir fiel aber sofort eine - aus meiner Sicht sehr häufig anzutreffende - Verhaltensweise auf:
Ursache für Sicherheitsverlust = Bequemlichkeit
Das finde ich persönlich eben gefährlich. -
@BBTown Moohohohment. :)
Du musst hier unterscheiden, was mein privates Empfinden ist und was ich Beruflich mache. Natürlich würde ich keinem Kunden empfehlen Portfreigaben zu machen (Es sei denn es ist ein Webserver in der DMZ oder ähnliches wo es fast gar nicht anders geht).
Vertrauen musst du mir nicht. Das habe ich ja auch gar nicht erwartet /verlangt :D
Ich wollte wissen wie ihr das Risiko einschätzt mit (bestenfalls) Beispielen dafür was schief laufen kann. (Auch wenn mir das bewusst ist das da Dinge schief laufen können).
Gruß
Remiind
@remiinD sagte in PortForwarding doch gar nicht so schlimm!?:
Ich wollte wissen wie ihr das Risiko einschätzt mit (bestenfalls) Beispielen dafür was schief laufen kann. (Auch wenn mir das bewusst ist das da Dinge schief laufen können).
Schlimmster Fall: Dein Raspi bekommt per automatischem Update alle 6 Stunden ein Update, welches eine zu diesem Zeitpunkt nicht bekannte Sicherheitslücke enthält. Ein Hacker, der fleissig im Quellcode mitgelesen (oder die Lücke gar selber dort platziert hat, ist ja Open Source )hat, weiss, wie er sie auszunutzen hat und besorgt sich so Adminrechte auf Deinem Raspi. Somit ist es ihm ein leichtes, sich in Deinem gesamten Netzwerk umzusehen. Vielleicht findet er ein NAS mit persönlichen Dokumenten und Bildern. Möglicherweise lädt er es sich nur runter, um es in Ruhe zu untersuchen. Vielleicht verschlüsselt er es auch einfach. Oder er installiert erst einmal einen Trojaner, so dass er jederzeit mal wieder vorbeischauen kann, auch wenn die Lücke gepatcht wurde. Und so weiter.
JEDER offene von außen erreichbare Port ist ein Sicherheitsrisiko. Sofern man nicht alles zu 100% Überwacht und selbst programmiert hat, kann immer mal irgendwo eine ungepatchte Sicherheitslücke vorhanden sein, ERST RECHT, wenn man Updates sofort (alle 6 Stunden) und ohne weitere Kontrolle installieren lässt.
Sicher ist eben nur alles, was zu ist, oder mit möglichst hoher Verschlüsselung (VPN). Und 100% Schutz gibt es leider nicht. Nirgends und Niemals.
Gruss, Jürgen
-
Manchmal geht's halt schief.
Ursachen dafür gibt's zuhauf (angefangen von Nichtwissen, Zufall, Einspielen eines Backup, ...)
Beispiel gefällig?
https://homematic-forum.de/forum/viewtopic.php?f=26&t=53197
Viel Spaß beim Lesen und noch mehr Spaß beim Warten, bis es passiert.Und das ging noch glimpflich ab, war wohl nur ein Skript-Kid.
-
Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.
Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.
Mit deinem Input könnte dieser Beitrag noch besser werden 💗
Registrieren Anmelden414
Online32.8k
Benutzer82.8k
Themen1.3m
Beiträge